每日安全简讯(20240813)

免责声明：以下内容原文来自互联网的公共方式，仅用于有限分享，译文内容不代表安天实验室观点，因此第三方对以下内容进行分享、传播等行为，以及所带来的一切后果与译者和安天实验室无关。以下内容亦不得用于任何商业目的，若产生法律责任，译者与安天实验室一律不予承担。

---

1 恶意PyPI库Solana用户窃取区块链钱包密钥

2024年8月11日，研究人员发现了一个新的恶意软件包，该包在Python软件包索引（PyPI）上伪装成Solana区块链平台的库，旨在窃取用户的钱包密钥。研究人员发布的报告中指出，这个恶意包名为“solana-py”，而真正的Solana Python API项目在GitHub上称为“solana-py”，在PyPI上则为“solana”。恶意“solana-py”包自2024年8月4日发布以来，共吸引了1122次下载，目前已从PyPI下架。该包的版本号为0.34.3、0.34.4和0.34.5，而合法的“solana”包的最新版本为0.34.3，明显显示出威胁行为者试图通过相似的名称误导用户下载恶意包。恶意包借用了其合法对等包的代码，但在“init.py”脚本中注入了额外代码，负责从系统中窃取Solana区块链钱包密钥。

https://www.sonatype.com/blog/an-ideal-pypi-typosquat-solana-py-is-here-to-steal-your-crypto-keys

---

2 勒索软件组织Rhysida声称窃取两家医疗系统数据

勒索软件组织Rhysida宣称对两家新的医疗系统——Bayhealth和Community Care Alliance（CCA）进行了大规模数据盗窃。Rhysida威胁将患者的敏感健康和个人信息在暗网上出售或公开。位于特拉华州的非营利医疗系统Bayhealth拥有多家医院、4000名员工和650名医生及其他临床医护人员。Rhysida声称窃取了Bayhealth患者的个人信息，并要求支付25个比特币（约150万美元）作为赎金。同时，位于罗德岛的Community Care Alliance提供心理健康、成瘾、住房和创伤相关问题的服务。Rhysida声称窃取了一个包含超过2.5 TB数据的SQL数据库，内含地址、社会安全号码、电话号码和信用卡号码等个人信息。CCA尚未对此作出公开回应或在其网站上发布相关声明。

https://www.govinfosecurity.com/rhysida-claims-major-data-theft-from-2-more-health-systems-a-25997

---

3 研究人员发现Google Quick Share文件传输工具中10个安全漏洞

研究人员在Google的Quick Share数据传输工具中发现了多达10个安全漏洞，这些漏洞可被组合利用，触发远程代码执行（RCE）链，从而在安装该软件的系统上运行任意代码。Quick Share是一种点对点文件共享工具，允许用户在Android设备、Chromebook和Windows桌面及笔记本电脑之间传输文件。研究人员通过分析Quick Share的协议，发现了9个影响Windows版本和1个影响Android版本的漏洞。这些漏洞包括6个远程拒绝服务（DoS）漏洞、2个未经授权的文件写入漏洞、1个目录遍历漏洞和1个强制Wi-Fi连接漏洞。

https://www.safebreach.com/blog/rce-attack-chain-on-quick-share

---

4 微软发现OpenVPN漏洞链可实现远程代码执行和本地权限提升

微软研究人员在Black Hat USA 2024大会上披露了OpenVPN中的四个中等严重性漏洞，这些漏洞可以被组合利用，达成远程代码执行（RCE）和本地权限提升（LPE）。OpenVPN是一款开源软件，提供建立虚拟专用网络（VPN）连接的安全灵活方式。根据微软发布的报告，攻击者可以利用这些漏洞对目标端点进行全面控制，可能导致数据泄露、系统妥协以及对敏感信息的未授权访问。然而，漏洞利用需要用户认证以及对OpenVPN内部工作机制的深入理解，且需要对操作系统有中等水平的知识。这些漏洞影响所有2.6.10和2.5.10版本之前的OpenVPN版本。

https://www.microsoft.com/en-us/security/blog/2024/08/08/chained-for-attack-openvpn-vulnerabilities-discovered-leading-to-rce-and-lpe/

---

5 Ewon Cosy+工业远程访问工具易受root权限攻击

研究人员披露了Ewon Cosy+工业远程访问解决方案中的多个安全漏洞，这些漏洞可被滥用以获取设备的root权限，并策划后续攻击。攻击者可以利用持久性跨站脚本（XSS）漏洞以及设备在未受保护的名为credentials的cookie中存储Base64编码的当前Web会话凭据，从而获得管理访问权限并最终获取root权限。未认证的攻击者通过结合这些漏洞并等待管理员用户登录设备，即可获得root访问权限。这条攻击链可以进一步扩展来设置持久性、访问固件特定的加密密钥并解密固件更新文件。此外，二进制文件中存储的硬编码密钥可用于提取秘密信息。

https://blog.syss.com/posts/hacking-a-secure-industrial-remote-access-gateway/

---

6 微软警告未修补的Office漏洞将导致数据泄露

微软披露了一个未修补的Office零日漏洞（CVE-2024-38200），如果成功利用，可能导致敏感信息泄露给恶意行为者。该漏洞的CVSS评分为7.5，被描述为一种欺骗漏洞。研究人员发现并报告了该漏洞。微软在公告中表示，在基于网络的攻击场景中，攻击者可以托管含有特制文件的网站（或利用被攻陷的网站），该文件旨在利用此漏洞。然而，攻击者无法强迫用户访问网站，而是需要通过电子邮件或即时消息引诱用户点击链接并打开特制文件。微软预计将在8月13日发布正式补丁，但已于7月30日通过Feature Flighting启用了备用修复方法。

https://msrc.microsoft.com/update-guide/vulnerability/CVE-2024-38200

---